La Maison Blanche a publié aujourd’hui une déclaration qui dit, essentiellement, qu’elle a organisé une grande réunion mercredi, avec de grands noms, et qu’une sorte d’étiquette de sécurité pour les appareils intelligents en sortira au printemps 2023. Voici beaucoup plus sur ce qui s’est passé , et ce qui est susceptible d’en sortir.
L’une des recommandations de haut niveau de la US Cyberspace Solarium Commission, du nom de la volonté de l’administration Eisenhower de repenser la stratégie de la guerre froide, dans son rapport de mars 2020 était de « créer une autorité nationale de certification et d’étiquetage de la cybersécurité ». Une «organisation non gouvernementale à but non lucratif» deviendra une autorité d’étiquetage pendant au moins cinq ans, étiquetant les produits sur la base du consensus des départements du commerce et de la sécurité intérieure et «des experts du gouvernement fédéral, des universités, des organisations non gouvernementales , et le secteur privé.
Et c’est à peu près qui s’est présenté, selon la Maison Blanche. Amazon, Comcast, Google, Intel, LG, Samsung, Sony et d’autres entités privées se sont présentés. Il en a été de même pour la Connectivity Standards Alliance, le consortium à l’origine de Matter, ainsi que pour l’American National Standards Institute (ANSI), Consumer Reports et les groupes de pression de la Consumer Technology Association, de la CTIA et de la National Retail Federation. Ajoutez à peu près toutes les agences gouvernementales touchant à la sécurité et vous obtenez le panneau recommandé par la Commission Solarium.
Les détails sur l’étiquette elle-même telle qu’elle existe jusqu’à présent, et ce qu’elle évaluerait ou mesurerait, n’étaient pas disponibles, mais il y a eu des indices. CyberScoop a cité un responsable de la Maison Blanche déclarant que les évaluations des appareils pourraient être basées sur « la correction des vulnérabilités, la quantité d’informations collectées sur les consommateurs, si les données sont cryptées et l’interopérabilité avec d’autres produits ».
Quant à ce à quoi l’étiquette pourrait ressembler, il existe au moins un modèle. Des chercheurs de l’Université Carnegie Mellon, l’une des parties invitées au sommet, avaient déjà créé un « label nutritionnel » de sécurité. Le label, basé sur les contributions de plus de 22 groupes, a bien fonctionné auprès des utilisateurs, affirme l’université. Il fournit plusieurs niveaux de divulgation, basés sur les problèmes courants de l’Internet des objets : mots de passe par défaut, mises à jour de sécurité, fonctionnalités hors ligne, etc.
Vous pouvez même créer votre propre étiquette de sécurité volontaire ou simplement écraser les pneus, comme je l’ai fait.
La Maison Blanche a déclaré aux journalistes jeudi qu’elle visait à « garder les choses simples », avec un code qui peut être scanné par les téléphones pour afficher des informations de sécurité et de confidentialité.
Quels produits obtiendront les labels ? La Maison Blanche a déclaré mercredi aux journalistes qu’elle commencerait par un étiquetage volontaire au printemps 2023, en se concentrant sur « les appareils connectés à Internet particulièrement vulnérables tels que les routeurs » et les caméras domestiques.
Le communiqué de presse de la Maison Blanche indique qu’elle souhaite que cet effort « génère un label mondialement reconnu ». CyberScoop a rapporté plus tôt ce mois-ci que le groupe de travail travaillait avec l’Union européenne pour « s’aligner sur les normes ». Il convient donc de noter qu’Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, a participé à la Semaine internationale de la cybersécurité à Singapour, où elle a décrit les États-Unis comme considérant Singapour comme un « leader mondial de l’IdO », comme l’a rapporté The Register.
Le système d’étiquetage de la cybersécurité de Singapour attribue à presque tous les appareils grand public connectés à Internet dans ce pays une note sur une échelle de quatre étoiles. Le système est reconnu par la Finlande et, à ce jour, par l’Allemagne. Annoncé lors de la conférence cette semaine, c’est que le système pourrait bientôt faire son chemin vers les dispositifs médicaux. Il y a fort à parier que, quel que soit le système conçu par les États-Unis, il cherchera à atteindre une certaine réciprocité avec le système de Singapour, même à un seul niveau.
Y a-t-il un aspect Matter dans cet étiquetage ? Presque certainement, compte tenu de la présence du CSA au sommet de la Maison Blanche. La certification Matter exige déjà que les appareils utilisent le cryptage AES lors de la communication sur les réseaux, soient capables de recevoir des mises à jour par voie hertzienne, soient signés par code et disposent d’une enclave sécurisée pour stocker les clés et les certificats à vérifier par rapport à un registre blockchain. Certains ou tous ces aspects (moins le bit blockchain) sont susceptibles d’être pris en compte sur les étiquettes de sécurité.
Alors que la première version de cette étiquette de sécurité sera presque certainement un effort compromis et acceptable sur le plan politique, tout est susceptible d’être meilleur que le système que nous avons actuellement : rechercher individuellement les noms de marques et les fabricants de maisons intelligentes en ligne avec les phrases de fin « violation » et » vulnérabilité. »